解码安全组合

        如前所述，端点安全从概念到部署都是比较新的领域，因此步步为营是必然的。对用户而言，目前在端点安全实现方式上有网络型、软件型、网关型。不同的实现方式获得的安全体验与管理的难易度明显不同。

        Array Networks的市场总监陈凯表示，软件型的实现方式部署起来很复杂,维护成本较高，而网络型则无疑会增加很多部署成本。他认为，采用网关加软件的结合方式，可以充分发挥网关型和软件型的优点，规避了二者的缺点。

        趋势科技资深产品技术顾问徐学龙认为，网络型、网关型方案的优势是部署简单，但缺点是无法监控一些不通过网络协议传输的威胁；而软件型方案的优势是监控全面，但缺点是投入较大，且难以实现100％的部署率。

        对此，郭栋梓还认为，不同的实现方式所适用的网络环境和客户群体不尽相同。端点安全从狭义上讲，主要以软件方式在终端设备上进行，从广义上讲，应该能够与接入层设备、核心层设备到网关设备进行全面配合和联动，目的是为了实现安全的全面化。

        目前来看，以打造安全网络为目标，所有这些技术可以互相补充，发挥各自的优势，根据用户实际碰到的问题，建立最合适的解决方案。比如在纯交换型网络，可以使用安全交换机；在单机环境部署软件型方案；在企业网络部署安全网关加安全终端方案。

        需要指出的是，此前《Network World》安全专栏作家Tim Green曾发表了它对于端点安全实现技术的看法，其中参考了对Crossbeam、ConSentry、Nevis的测试报告，他认为，从长远发展的角度看，网络型尤其是核心安全交换机型在可扩展性和投资回报率方面具有优势。端点安全不仅仅是安全设备的提供，更重要的是安全服务的提供，从这个角度看端点安全应该以集中部署、集中管理的方式来实现。

        此外，吴鸿钟博士还对端点安全的理想实现方式进行了描绘，其中包括了可视、可控、可管、可信、可审五大要素。具体来看，可视主要是确保可实时集中观察所有终端的运行情况和安全情况；可控则是对用户终端的行为进行集中控制；可管是对终端系统进行集中管理；可信是对终端用户的安全策略符合性进行检查，确保安全策略得到遵守和执行；可审是对安全事件进行集中审查。

       在这五大要素的基础上，融合“身份认证+网络安全接入+VPN安全连接+桌面安全防御+安全审计+信息加密”，就构成了典型的端点安全技术内容。截至目前，这些技术内容已经能够为用户提供比较完善的端点安全保障，这可以从数据包的整个传递过程中分析出来。但实际情况是，不同的行业用户需求不同，面临的威胁和风险也不同，所以针对端点安全还是要根据行业的需求来设计。

        在这些技术中，VPN是一个需要特别关注的地方。据顾庆林介绍，目前SSL VPN借助技术优势，可以提供简单便捷的远程接入方式。同时，也为网络安全管理带来了新的挑战，脱离了内部网络安全管理的移动用户和移动终端，企业的IT经理需要确保他们不会将外部的网络威胁，病毒，木马，蠕虫等，通过VPN感染内部网络，给正常业务造成影响。因此在这一阶段，用户需要额外考虑终端的安全性管理，只有符合安全要求的用户才能访问VPN。

        另外对于远程接入用户的身份验证，也是需要考虑的问题。中银保险信息技术部负责人曾专门开展过调研，他发现，传统的“密码＋用户名”方式在现行的攻击手段面前太过脆弱。考虑到部署成本，他认为采用多因数或者双因数验证是一个很好的变通方案，通过使用硬件加密的动态密码技术，可以提升安全等级。

        而全聚德集团IT经理王伟也提醒说，安全与风险是一对孪生兄弟，攻与防一直伴随信息系统存在，所以不可能有100%的安全，即便采用了上述安全体系也只能说系统获得了相对的安全，绝对安全在信息系统领域是不容易实现的。

        有趣的是，目前似乎单独的网络厂商或安全厂商都不可能完全主导端点安全方案，最好的方法是安全与网络厂商合作来主导这一领域。不过随着安全IT成为用户部署信息系统的大趋势，端点安全的普及也将逐渐进入高潮。